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Появление и развитие облачных вычислений определяет новые постановки задач при построении систем 
защиты информации. Одной из открытых проблем является проблема оценки стойкости криптографических 
и стеганографических систем, использующихся в облаках, к атакам на реализацию. Существующие 
методики оценки не в полной мере позволяют решать эту задачу, поэтому в статье предлагается новый 
метод оценки стойкости к атакам на реализацию, основанный на использовании общей теории оптимальных 
алгоритмов. Приводятся примеры оценки стойкости к временным атакам на основе предложенного подхода. 
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Введение 


Основной тенденцией развития информационно-коммуникационных систем (ИКС) 
последних лет стало широкое использование технологий виртуализации и их раз- 
вития — облачных вычислительных технологий. Проблеме построения безопасных 
(для различных определений состояния безопасности информации) облачных систем 
посвящено достаточно много работ [1-7], однако вопросы системного подхода к 
проектированию, анализу состояния безопасности и реализации методов и средств 
защиты информации исследованы эпизодически. Анализ проблем проектирования 
и реализации криптосистем для облачных ИКС фактически представлен задачами 
построения гомоморфных криптосистем [7]. Как показано авторами в работах [8-10], 
проблему необходимо рассматривать в более широком смысле. Действительно, главной 
особенностью облачных систем, изменяющей постановку задачи по проектированию 
систем их защиты, является «предоставление вычислительных услуг в требуемом 
количестве» или «эластичность вычислений» [11]. Обеспечение этого свойства облачных 
систем требует наличия гибко изменяющейся, распределенной архитектуры построе- 
ния системы защиты информации, управление которой осуществляет сама облачная 
система в автоматическом режиме. Для осуществления возможности построения такой 
системы автоматического управления безопасностью информации требуется построе- 
ние математических моделей оценки безопасности текущего состояния системы в 
целом и отдельных ее подсистем. 

Целью данной работы является анализ особенности реализации криптосистем 
и стеганосистем для ИКС, построенных по парадигме облачных вычислений и разра- 
ботка адекватной математической модели для оценки их стойкости к атакам на реали- 
зацию (в частности — атакам по побочным каналам). 


Модель угроз для облачных технологий 


Модель угроз облачных вычислительных систем наследует все свойства модели 
угроз распределенных и виртуальных технологий, добавляя при этом новые, специ- 
фические типы угроз. К угрозам, наследуемым от виртуальных вычислительных тех- 
нологий, относятся следующие типы угроз: 

— угрозы атак на базовую операционную систему или гипервизор (нарушения 
безопасности взаимодействия между виртуальными машинами, атаки на интерфейс 
взаимодействия между виртуальной машиной (ВМ) и гипервизором, атаки непосред- 
ственно на гипервизор); 

— угрозы атак, направленные на виртуальную машину (нарушение политики безо- 
пасности конкретной виртуальной машины для распространения атаки на другие ВМ 
через средства взаимодействия, повторное использование ВМ с ранее неправильно 
настроенной политикой безопасности (так называемые «динамические, мгновенные 
бреши»), использование типовых ВМ с настроенными политиками безопасности не 
по назначению); 

— угрозы атак отказа в обслуживании, возникающие из-за конфликта ресурсов 
(т.е. резкое чрезмерное возрастание нагрузки при одновременном выполнении регу- 
лярных операций или балансировка, квоты на использование ресурсов хоста) [1], [2]. 

К специфическим, вытекающим из самой природы облачных вычислений, отно- 
сятся такие типы угроз, как: 

— нарушение конфиденциальности при повторном использовании ресурсов (пере- 
дача между пользователями типовых виртуальных машин без очистки критических 
данных (например, ключей к 55Н), при распределенном хранении критических данных 
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(принципиально невозможно локализировать место хранения данных, а иногда (из-за 
больших нагрузок на аудит) и отследить объемы и направления перемещения данных)); 

— угрозы атак, использующие размытость границы защищаемой облачной системы 
(система обычно представлена как портал, куда имеют доступ пользователи с различным 
уровнем полномочий через незащищенные мобильные терминалы различных типов); 

— угрозы атак, использующие слабости криптосистем (при применении облачных 
технологий многие традиционные криптографические протоколы и методы реализации 
криптосистем оказываются недопустимыми); 

— угрозы атак, использующие слабости систем аудита событий провайдера об- 
лачных технологий (поскольку данные хранятся и обрабатываются распределенно, то 
повышаются требования к системе аудита для прозрачности действий провайдера и 
требования по защите критических данных пользователей от персонала провайдера); 

— угрозы атак, связанные с несанкционированным использованием облачных тех- 
нологий как средства для осуществления других атак (а именно — для криптоанали- 
тических атак, для хранения и распределения зловредного кода и т.д.). 

Перечисленные выше угрозы носят универсальный характер и не зависят ни от 
функциональности подсистем облачной вычислительной системы, ни от технологии 
реализации подсистем. Заметим, что отдельные составляющие и подсистемы «облаков» 
могут быть реализованы и с использованием \/е-технологий, и с использованием тех- 
нологий мобильных агентов, в отношении которых существуют свои специфические 
уязвимости и угрозы. Криптографические и стеганографические системы, построенные 
по принципу и для облачных технологий наследуют все упомянутые угрозы, поэтому 
задачи анализа их стойкости, включая стойкость к атакам на реализацию, приобретают 
новые постановки. Рассмотрим некоторые из них. 


Постановки задач. Открытые проблемы 


1. Для эффективной работы в составе «облака» криптосистема должна обеспечи- 
вать эластичность предоставления услуг, а значит — быть реализованной по одной из 
технологий, поддерживающих облачные вычисления. В работах [8], [9] авторы предло- 
жили технологию реализации криптосистем, которая может применяться для «облаков». 
Фактически предложенная в них концепция «специальных цифровых носителей инфор- 
мации» является вариантом построения криптосистемы как множества взаимодейст- 
вующих мобильных агентов. Как в классической агентно-ориентированной парадигме 
построения распределенных вычислительных систем каждая часть цифрового носи- 
теля — интеллектуальный агент, способный подстраиваться под изменяющиеся внешние 
условия. Наиболее эффективной в этом случае является модель, в которой мобильные 
агенты, реализующие криптосистему любой сложности, формируются в зависимости 
от необходимой функциональности из криптопримитивов. Криптосистема, созданная 
по такому принципу, способна работать с распределенными данными и изменять (как 
наращивать, так и снижать) свою эффективность без потери стойкости. При этом эф- 
фективность оценивается не только быстродействием, но и расходом «ценных» ресур- 
сов (например, случайных последовательностей и ключей). Открытой проблемой 
является определение минимально достаточного множества криптопримитивов и авто- 
матического определения стойкости криптопротоколов и криптосистем, созданных 
из этих криптопримитивов. Эта задача повышает также актуальность исследований 
формального анализа стойкости криптографических протоколов [12]. 

2. Реализация криптосистем по агентной парадигме может быть осуществлено 
с использованием ХМГ-шаблонов. Атаки на ХМГ-данные принципиально отличны 
от атаки на другие форматы хранения данных из-за того, что сами данные содержат 
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инструкции по их обработке. При этом обработка исключительных ситуаций, ошибок и 
сбоев тоже, как правило, управляется самими данными в автоматическом режиме. 
Последнее предоставляет широкие возможности для осуществления атак на реали- 
зацию [13]. Открытой проблемой при этом остается отсутствие эффективной по быстро- 
действию формальной методики оценки текущего состояния защищенности от атак 
на реализацию. Особенно актуальна эта проблема для стеганографичских систем, где 
до настоящего времени, как известно авторам, такие исследования не проводились. 

3. Для распределенных вычислительных систем в общем и для облачных в частно- 
сти изменяется модель возникновения побочного канала для модулей криптографической 
защиты информации. В работе [10] главной особенностью такой модели отмечалась 
возможность моделирования ситуации, когда агенты, составляющие криптосистему, 
работают на разных узлах распределенной системы. В качестве теоретической основы 
такой модели рассматривалась общая теория оптимальных алгоритмов [14], [15]. В об- 
лачных вычислительных системах добавляются факторы гетерогенности узлов системы, 
наличия слоя виртуализации и эластичности вычислений. Возникающие при этом по- 
бочные каналы отличаются различной природой происхождения (временные, атаки 
измерения потребляемой мощности, электромагнитных или акустических сигналов, 
излучаемых при работе модуля КЗИ, утечки информации за счет отсутствия очистки 
общей памяти и т.д.) и принципиально большей возможностью создания нужных для 
измерения параметров побочного канала ситуаций (атаки на основе генерируемых 
ошибок, разностные атаки). Как показали исследования авторов [5], [10], наиболее 
адекватной математической моделью оценки стойкости криптосистем к атакам с ис- 
пользованием информации из таких побочных каналов является модель, построенная 
на основании общей теории оптимальных алгоритмов (ОТОА) [14] и ее развитии [15], 
так как она не требует введения метрики на пространстве параметров побочных ка- 
налов, позволяет учитывать неточность и неполноту предоставления информации от 
различных побочных каналов. 

Каждая из перечисленных проблем проектирования и реализации криптосистем 
(стеганосистем) для облачных вычислений требует отдельного внимания. Остановимся 
на некоторых аспектах решения задачи оценки стойкости криптосистем к атакам по 
побочным каналам для облачных вычислений в рамках модели, предложенной в 
работе [10]. 


Оценка стойкости к комбинированной атаке 

по побочным каналам для криптосистем, 

использующих облачные вычислительные технологии 
Рассмотрим пример оценки стойкости криптосистемы, реализующей цифровую 

подпись по алгоритму ВЗА, следуя работе [13]. Для сообщения т вычисляется хэш- 

функция й(т) и подпись 5 = й(т)“ тоа М ‚ где М- модуль системы В$А, 4-— секретный 

ключ выработки подписи, е — открытый ключ верификации подписи, е : 4 = 1104 А,(№), 

где (№) — обобщенная функция Эйлера. Предположим, что для вычисления степени 


используется бинарный алгоритм, а для вычисления остатка по модулю — метод Монт- 
гомери без использования китайской теоремы об остатках. Тогда общая схема алго- 
ритма возведения в степень такова: 


Вход: т, №, а = (а ,...4,).,й:{01} — 7/М7 Выход: 5 = (т) той М 
1. № < 0; К, < й(т) 
2. Рог 1 =&-1;1<0; 1-- 9 
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3. В < В, шоамМ 
4. Ка, =1) еп К < К, К, под М 
5. Епа юг Кецип А, 


Заметим, что при применении метода Монтгомери в результате получаем число 
в интервале [0,2М№[ и для получения корректного остатка по модулю требуется одно 
дополнительное вычитание №. В работе [13] рассмотрена следующая схема временной 
атаки. Атака строится итеративно от старших бит к младшим в предположении, что 
уже известны старшие биты 4 а Цель атаки — установить значение бита 


4,_‹. Предположим, что 4, =1. Случайно выбираем { сообщений т, ,...т,. Зная 


п" ик * 
Ч 1,...Ч Ч, и М, можно разбить эти сообщения на два множества: 
М, = {т, | К : В, пода М не требует дополнительное вычитание на шаге 4 алгоритма 
для ] =п-К} и М, = {т, | К - В, шоа М требует дополнительное вычитание на шаге 4 
алгоритма для | =п-К}. Выбирая сообщения из множеств М, и М, , определяем 
среднее время выработки цифровой подписи для каждого из множеств —т, ит, соответ- 
ственно. Если т, =т,, то наше предположение 4, =1 неверно и полагаем 4, =0. 
Если т, >т, ИТ, т, ть, ГДет „, — время операции вычитания, то наше предпо- 
ложение верно и 4, =1. 


Оценивая мощность данной атаки, необходимо отметить два важных момента: 
во-первых, предполагается априорное знание некоторых старших бит ключа, а во-вто- 
рых, время выработки цифровой подписи для различных сообщений измеряется в 
общем случае неточно и зависит от множества случайных факторов. Благодаря этому 
стойкость криптосистемы к данной атаке зависит от априорной информации и в за- 
висимости от метода ее получения описывается разными моделями и показателями. 
Это неизбежно приводит к практическим сложностям оценки. 

Применим к оценке стойкости криптосистемы к данной атаке на реализацию 
подход, предложенный в работе [10]. В качестве информационного оператора выбираем 
оператор №: РБ —>Х ‚ где Х =< А[л >, где АГ - априорная информация о значении 
4, т - информация, полученная из побочного канала по времени, О — множество 
значений показателя 4. Мощность множества У(М,4) = {4 еР:М(а) = М(а)} всех 
элементов 4, не отличимых с помощью информационного оператора М от 4, опре- 
деляет принципиальную стойкость к атаке, а радиус информации г(М№) и множество 


алгоритмов реализации атаки — показатель практической сложности ее осуществления. 
При этом в общем случае оператор М всегда неполон, а в зависимости от точности 
измерения т — еще и не точен. Показатель стойкости к атаке определяется оператором 


5:Бх К, ->2° (в частном случае — функция) утечки информации, С -— множество 


значений функции утечки. С помощью выбора множества Ф(№ (Б)) алгоритмов реали- 


зации атаки описываются такие практические ситуации, как реализуемость алгоритмов 
прямого перебора по оставшимся неопределенными битам показателя. Тогда условие 


абсолютной стойкости криптосистемы к атаке определяется как 7(М№ (Б)) >0, где 
"(№ (Б)) > 0 — радиус информации. 


Другим примером применения оценки стойкости на основе ОТОА к анализу стой- 
кости к временным атакам по побочным каналам криптосистем является выбор между 
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однопроходной и двухпроходной схемой Диффи-Хеллмана при выработке общего 
ключа для защиты канала обмена сообщениями между мобильным терминалом и 
«облаком». Учитывая то, что радиус неточной информации для мобильного терминала 
значительно меньше, чем для «облака», стойкость криптосистемы, функционирующей 
на мобильном терминале, к временной атаке существенно меньше. Поэтому приме- 
нение однопроходной схемы Диффи-Хеллмана для мобильных терминалов предпоч- 
тительно не только с точки зрения эффективности по быстродействию, но и большей 
стойкости к атакам на реализацию. 


Выводы 


Особенности облачной парадигмы построения распределенных вычислительных 
систем определяет новые постановки задач и порождает открытые проблемы реализа- 
ции в соответствии с ее принципами криптографических и стеганографических систем. 
В облачных вычислительных системах добавляются факторы гетерогенности узлов 
системы, наличия слоя виртуализации и эластичности вычислений. Существующие 
методики оценки стойкости к атакам на реализацию и методы проектирования крипто- 
систем и стеганосистем [13] не в полной мере применимы в этом случае. Предложенный 
в статье подход, основанный на применении радиуса информации, позволяет оце- 
нивать стойкость к атакам на реализацию, имеющим разную природу возникновения. 
В качестве примеров рассматриваются оценки стойкости к атаке по побочному вре- 
менному каналу схемы цифровой подписи по алгоритму КЗА и схема распределения 
ключей Диффи-Хеллмана. 
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КЕЗОМЕ 
У.К. Гафгака, А.М. Киат 


Реашигез ор те [тр ететанпоп о} Стурозуяету 


апа Чевозуяетху Вазе4 оп СТоиа; Сотрийпе 

Сои4 сотрийпе арреаг$ ю Бауе етегое4 уегу гесепПу аз а за Б]есе оЁ асадепис 
пегезь, Бо Ффеу Вауе Бесоте а зоигсе пе\у шРогтайоп зесигиу ргоетз$. Атопе фет 
Феге 15 ргоМет оф зесиге ппр!ететайоп сгурюзэтарс апа %есапоэтарыс зузет. ТЫ$ 
ргоЫет 1$ по! зо]уе4 Фе ех15Ип® тефо4$ ш №1. 

ш Фе агафе пе\ тефо4 оЁ Фе сгурюзу$ет$ ап %егозу$етл$ зесигиу езитайоп 
ю $1Ае-сваппе! айасК$ 1$ ргорозе4. Тве оНеге4 теоа 15 Базе оп сепега| Феогу оЁ 
орита!| а1>огИ $. 

АЕ Фе Нг5Е Фе Шгеа то Гог с1ои4 сотршег зужет 1$ апа1у$1$. ТВе зресс 
Фгеа{$ Гог сгурюзу$ет апа %егозузет ш с1ои4 аге сопз14егед. Аг Фе зесопа \е 41$си$$ 
ореп ргоетз ш пар!ететаноп оЁ стгурюзу$етз апа $есозуз$етз ш с1ои4$. 

У'е арру ргорозе4 тео4 Гог апа[уз1$ зесигиу о ВЗА сгурюзу$ет {о \еП-Кпо\’п 
Иттое аНаск$. УУе а[50 зВо\ ргеГегепсе изе4 шРогтайоп гал Гог езитайоп зесигиу 
пипретешайоп сгурюзу$ет ВЗА апа опе-у\уау РИй-Не]тап зсВете т с1ои4$. 
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